基本介紹
身份驗證
Kerberos V5 工作原理概述Kerberos V5 身份驗證機制頒發用於訪問網路服務的票證。這些票證包含能夠向請求的服務確認用戶身份的經過加密的數據,其中包括加密的密碼。除了輸入密碼或智慧卡憑據,整個身份驗證過程對用戶都是不可見的。
Kerberos V5 身份驗證過程按如下方式工作:
客戶端系統上的用戶使用密碼或智慧卡向 KDC 進行身份驗證。
KDC 向此客戶端頒發一個特別的授權票證。客戶端系統使用該 TGT 訪問授票服務 (TGS),這是域控制器上的 Kerberos V5 身份驗證機制的一部分。
TGS 接著向客戶端頒發服務票證。
客戶端向所請求的網路服務出示服務票證。服務票證向此服務證明用戶的身份,同時也向該用戶證明服務的身份。
Kerberos V5 服務安裝在每個域控制器上,並且 Kerberos 客戶端則安裝在每個工作站和伺服器上。
每個域控制器作為 KDC 使用。客戶端使用域名服務 (DNS) 定位最近的可用域控制器。域控制器在用戶登錄會話中作為該用戶的首選 KDC 運行。如果首選 KDC 不可用,系統將定位備用的 KDC 來提供身份驗證。
有關 Kerberos V5 如何提供身份驗證方面的詳細信息,請參閱“Windows Server 2003 技術參考”中的 Kerberos Authentication Technical Reference。
